DE102018004996A1

DE102018004996A1 - Checking location information

Info

Publication number: DE102018004996A1
Application number: DE102018004996.6A
Authority: DE
Inventors: Daniel Albert; Helmut Schuster
Original assignee: Build38 GmbH
Current assignee: Build38 GmbH
Priority date: 2018-06-22
Filing date: 2018-06-22
Publication date: 2019-12-24

Abstract

Die vorliegende Erfindung ist auf ein Verfahren zum Verifizieren einer bereitgestellten Ortsinformation gerichtet und sieht mehrere Sicherheitsmechanismen vor, welche es ermöglichen zu prüfen, ob eine von einem Benutzer bereitgestellte Ortsinformation tatsächlich seinem wirklichen Aufenthaltsort entspricht. Die vorliegende Erfindung ist ferner gerichtet auf eine entsprechend eingerichtete Verifizierungsanordnung sowie auf ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Anordnung betreiben.

The present invention is directed to a method for verifying location information provided and provides several security mechanisms which make it possible to check whether location information provided by a user actually corresponds to his actual location. The present invention is also directed to a correspondingly set up verification arrangement and to a computer program product with control commands which implement the method or operate the arrangement.

Description

Die vorliegende Erfindung ist auf ein Verfahren zum Verifizieren einer bereitgestellten Ortsinformation gerichtet und sieht mehrere Sicherheitsmechanismen vor, welche es ermöglichen zu prüfen, ob eine von einem Benutzer bereitgestellte Ortsinformation tatsächlich seinem wirklichen Aufenthaltsort entspricht. Die vorliegende Erfindung ist ferner gerichtet auf eine entsprechend eingerichtete Verifizierungsanordnung sowie auf ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Anordnung betreiben.The present invention is directed to a method for verifying location information provided and provides several security mechanisms which make it possible to check whether location information provided by a user actually corresponds to his actual location. The present invention is also directed to a correspondingly set up verification arrangement and to a computer program product with control commands which implement the method or operate the arrangement.

WO 2011/017 647 A2 zeigt ein ortsbasiertes Verfahren, wobei ein Benutzer u. a. GPS-Daten bereitstellt. WO 2011/017 647 A2 shows a location-based method, wherein a user provides GPS data, among other things.

WO 2014/039172 A1 zeigt ein ortsbasiertes Verfahren, wobei ein Benutzer anhand einer eindeutigen Identifizierung und anhand von Datenbankeinträgen lokalisiert werden kann. WO 2014/039172 A1 shows a location-based method, wherein a user can be localized on the basis of a unique identification and on the basis of database entries.

WO 2010/093 596 A1 zeigt ein Verfahren zum Authentifizieren einer geographischen Ortsinformation in einem drahtlosen Netzwerk. WO 2010/093 596 A1 shows a method for authenticating geographic location information in a wireless network.

Gemäß dem Stand der Technik ist es bekannt, mobile Endgeräte beispielsweise zur Authentisierung zu verwenden und einen Zugang zu Ressourcen davon abhängig zu machen, wo sich ein Benutzer befindet. So sind Schließsysteme bekannt, welche lediglich dann Zugang gewähren, falls sich der Benutzer tatsächlich in der Nähe der Schließanlage befindet. Darüber hinaus sind Bezahlfunktionen bekannt, die zur Abrechnung nicht lediglich auf Netzwerkanbieter zurückgreifen, sondern einen Benutzer orten. Der Fachmann kennt hierbei weitere unzählige Anwendungsszenarien einer Ortungsfunktion. Problematisch ist hierbei jedoch, dass der Benutzer eine Ortsinformation abfälschen könnte und somit auch unberechtigterweise Zugang erhält oder aber auch Abrechnungsdaten verfälscht werden können.According to the prior art, it is known to use mobile terminals for authentication, for example, and to make access to resources dependent on where a user is located. Locking systems are known which only grant access if the user is actually in the vicinity of the locking system. In addition, payment functions are known which not only use network providers for billing, but locate a user. The person skilled in the art knows other innumerable application scenarios of a location function. However, the problem here is that the user could falsify location information and thus also gain unauthorized access or that billing data can also be falsified.

Es existieren Systeme, die, um die geographische Position von Mobilgeräten wie Smartphones möglichst sicher festzustellen, eine entsprechende Hardware verwenden. Aus dem Stand der Technik sind GPS-basierte Systeme bekannt sowie eine Ortung auf Basis von Funkzellen. Bei dieser Ortung wird eine Laufzeit berechnet, wie lange Signale von unterschiedlichen Basisstationen zu dem mobilen Endgerät benötigen, und sodann wird der Abstand von diesen Basisstationen berechnet. Ferner sind Ortungsmöglichkeiten anhand von RFID-Chips bekannt.Systems exist that use appropriate hardware to determine the geographical position of mobile devices such as smartphones as securely as possible. GPS-based systems are known from the prior art, as is location based on radio cells. With this location, a run time is calculated, how long signals from different base stations need to the mobile terminal, and then the distance from these base stations is calculated. Location options based on RFID chips are also known.

Die Manipulationen können vom Benutzer des Mobilgeräts ausgehen, der dadurch beispielsweise einen Vorteil in einem Spiel oder Zugriff auf einen sogenannten „Location based Service“ erhält. Ferner können Manipulationen von einen Angreifer ausgehen, der durch Vortäuschung einer anderen Position gegenüber einem Server den Benutzer schädigt.The manipulations can originate from the user of the mobile device, who thereby receives, for example, an advantage in a game or access to a so-called “location-based service”. Manipulation can also originate from an attacker who, by simulating a different position against a server, damages the user.

Ein weiteres technisches Feld ist das Verschleiern von Quellcode. Ein Quellcode ist typischerweise menschenlesbar abgefasst, und entsprechende Variablenbezeichnungen bzw. Funktionsbezeichnungen tragen sogenannte sprechende Namen. Damit ein Angreifer hierauf nicht zugreifen kann, wird die Semantik dieser Namen verfälscht und auch die logische Reihenfolge entsprechender Operationen vertauscht. Zusätzlich können nicht benötigte, also redundante, Steuerbefehle eingeführt werden, die den Code künstlich aufblähen und somit eine Menschenlesbarkeit erschweren. Beim Kompilieren eines solchen Quellcodes werden typischerweise solche redundante Codestücke entfernt. Ein solches Vorgehen ist generell als ein Obfuskieren bekannt. Somit bezeichnet also ein Obfuskieren ein Verschleiern von Quellcode.Another technical field is disguising source code. A source code is typically written in a human-readable manner, and corresponding variable names or function names have so-called descriptive names. So that an attacker cannot access this, the semantics of these names are falsified and the logical order of the corresponding operations is also reversed. In addition, redundant control commands that are not required can be introduced, which artificially inflate the code and thus make human readability more difficult. When compiling such a source code, such redundant pieces of code are typically removed. Such an approach is generally known as obfuscation. Obfuscation thus means obscuring source code.

Der Stand der Technik besitzt den Nachteil, dass es bei der Obfuskierung von Apps nicht möglich ist, die Schnittstellen zu GPS oder ähnlichen ortsermittelnder Hardware im Mobilgerät abzusichern. Für den Zugriff darauf stellt das Betriebssystem des Mobilgeräts eine entsprechende API zur Verfügung, die genutzt werden muss. Eine Umgehung der API ist nicht oder sehr schwierig möglich bzw. schafft Abhängigkeiten zur Gerätehardware und/oder Betriebssystemversion; deshalb ist die Umgehung der API verboten. Die API kann jedoch angegriffen werden.The prior art has the disadvantage that when apps are obfuscated, it is not possible to secure the interfaces to GPS or similar location-determining hardware in the mobile device. The operating system of the mobile device provides an appropriate API for access to it, which must be used. Bypassing the API is not possible or is very difficult or creates dependencies on the device hardware and / or operating system version; therefore bypassing the API is prohibited. However, the API can be attacked.

Ein Angriff bedeutet, dass nicht die tatsächlichen Koordinaten oder Ortsangaben von der API an die App zurückgegeben werden, sondern vom Angreifer vorgegebene. Hierbei kann der Angreifer sowohl ein „echter“ Angreifer sein als auch der Benutzer des Mobilgeräts selbst, der durch die Manipulation einen Vorteil erhalten möchte.An attack means that the API does not return the actual coordinates or location information to the app, but the attacker's default. In this case, the attacker can be both a “real” attacker and the user of the mobile device himself who wants to gain an advantage from the manipulation.

Ein weiterer Nachteil des Standes der Technik ist, dass es für einen App-Entwickler sehr umständlich und somit aufwendig ist, eine zusätzliche Absicherung von (GPS-)Ortsbestimmungen in seine App/Server-Kombination zu integrieren. Another disadvantage of the prior art is that it is very cumbersome and therefore expensive for an app developer to integrate additional protection of (GPS) location determinations in his app / server combination.

Es soll die Aufgabe gelöst werden, auch bei Nutzung der regulären Ortsbestimmungs-API eines Mobilgeräts sicherzustellen, dass ein Angreifer keine gefälschte geographische Position zumindest gegenüber einem Server, der diese Daten beispielsweise zur Transaktionsabsicherung oder Zugriffskontrolle nutzt, vortäuschen kann.The task is to be solved, even when using the regular location API of a mobile device, to ensure that an attacker cannot pretend to be a fake geographical position, at least vis-à-vis a server that uses this data, for example, for transaction security or access control.

Darüber hinaus soll das dazu verwendete Verfahren sehr einfach in Apps integrierbar sein, vorzugsweise ohne Änderungen am bestehenden System.In addition, the method used for this should be very easy to integrate into apps, preferably without changes to the existing system.

Es ist somit eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Verifizieren einer bereitgestellten Ortsinformation vorzuschlagen, welches es ermöglicht, in sicherer Art und Weise einen Aufenthaltsort eines Benutzers zu bestimmen, ohne hierbei einen großen technischen Aufwand zu betreiben. Ein technischer Aufwand würde darin bestehen, zusätzliche Hardwarekomponenten an einen Benutzer ausgeben zu müssen. Es ist ferner eine Aufgabe der vorliegenden Erfindung, eine entsprechend eingerichtete Verifizierungsanordnung vorzuschlagen sowie ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Anordnung betreiben.It is therefore an object of the present invention to propose an improved method for verifying a location information that is made available, which makes it possible to determine a user's location in a safe manner without having to make a great technical effort. A technical effort would be to have to issue additional hardware components to a user. It is also an object of the present invention to propose a correspondingly set up verification arrangement and a computer program product with control commands which implement the method or operate the arrangement.

Die Aufgabe wird gelöst mit den Merkmalen der unabhängigen Patentansprüche. Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.The object is achieved with the features of the independent claims. Further advantageous refinements are specified in the subclaims.

Demgemäß wird ein Verfahren zum Verifizieren einer bereitgestellten Ortsinformation in einem Drahtlosnetwerk vorgeschlagen, umfassend die Schritte des Registrierens einer vertrauenswürdigen Instanz bei einem Netzwerkbetreiber, des Verschleierns von Steuerbefehlen eines mobilen Endgeräts, welches kommunikativ mit dem Netzwerkbetreiber verbunden ist, wobei die Steuerbefehle eingerichtet sind, die Ortsinformation des mobilen Endgeräts zu ermitteln, des ersten Ermittelns der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Ortungskomponenten des Endgeräts, des zweiten Ermittelns der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Daten des Netzwerkbetreibers, des Übertragens der jeweils übermittelten Ortsinformationen an die registrierte vertrauenswürdige Instanz, und des Verifizierens der Ortsinformation durch die vertrauenswürdige Instanz, falls die jeweils übermittelten Ortsinformationen übereinstimmen.Accordingly, a method for verifying a location information provided in a wireless network is proposed, comprising the steps of registering a trustworthy entity with a network operator, concealing control commands from a mobile terminal that is communicatively connected to the network operator, the control instructions being set up, the location information of the mobile terminal, the first determination of the current location information of the mobile terminal using location components of the terminal, the second determination of the current location information of the mobile terminal using data from the network operator, the transmission of the respectively transmitted location information to the registered trustworthy entity, and verification of the location information by the trustworthy entity if the location information transmitted in each case matches.

Gemäß der vorliegenden Erfindung ist ein Verifizieren ein Überprüfen der Echtheit der Ortsinformation, welche durch das mobile Endgerät bereitgestellt wird. Somit wird bei einem Verifizieren davon ausgegangen, dass nach einem Verifizieren die bereitgestellte Ortsinformation dem Aufenthaltsort entspricht und somit ein positives Verifizieren eintritt. Bei einem negativen Verifizieren, falls also die überprüfte Ortsinformation nicht mit dem tatsächlichen Aufenthaltsort des Benutzers übereinstimmt, kann eine Fehlermeldung ausgegeben werden bzw. eine Fehlerroutine gestartet werden. Dies tritt stets dann auf, wenn die bereitgestellten Ortsinformationen nicht übereinstimmen und somit eine Inkonsistenz entsteht. Generell wird also unter einem Verifizieren ein positives Verifizieren verstanden, falls dies nicht anders angegeben wird.According to the present invention, verifying is checking the authenticity of the location information provided by the mobile terminal. Thus, when verifying, it is assumed that after verification the location information provided corresponds to the location and thus positive verification occurs. If the verification is negative, ie if the verified location information does not match the actual location of the user, an error message can be output or an error routine can be started. This always occurs when the location information provided does not match and an inconsistency arises. In general, a verification is understood to mean a positive verification, unless stated otherwise.

Eine Ortsinformation ist diejenige Information, an der sich der Benutzer aufhält bzw. vermeintlich aufhält. Somit beschreibt die Ortsinformation beispielsweise eine geographische Koordinate bzw. mindestens einen Hinweis auf einen Ort. Ein solcher Hinweis kann auch durch eine Mobilfunkzelle gegeben werden, in der das mobile Endgerät des Benutzers registriert ist. Hierzu baut der Netzwerkbetreiber mit dem mobilen Endgerät eine Datenverbindung auf und bietet entsprechende Dienste an. Ein solcher Dienst, der von dem Netzwerkbetreiber an das mobile Endgerät angeboten wird, kann eine Sprachübertragung oder aber auch eine Datenübertragung sein. Der Netzwerkbetreiber wird gemäß der vorliegenden Erfindung typischerweise durch eine Recheneinheit repräsentiert. Wird also von einem Netzwerkbetreiber gesprochen, so bezieht sich dies typischerweise auf die bereitgestellte Infrastruktur. Das bereitgestellte Netzwerk kann eine Basisstation umfassen, mit der das mobile Endgerät kommunikativ gekoppelt ist. Somit ist das mobile Endgerät in einem Drahtlosnetzwerk registriert, welches bevorzugt als ein Mobilfunknetzwerk vorliegt. Hierbei bewegt sich das mobile Endgerät von Zelle zu Zelle, wobei jeweils bei einem Wechsel von einer Zelle zu einer nächsten Zelle, also von einer Basisstation zur nächsten Basisstation, ein sogenannter Handover stattfindet. Anhand dieser geographischen Information kann die Ortsinformation abgeleitet werden. Die geographischen Ausmaße der einzelnen Funkzellen sind dem Netzwerkbetreiber bekannt, und somit kann das mobile Endgerät geortet werden.Location information is the information at which the user is or is supposed to be. The location information thus describes, for example, a geographical coordinate or at least an indication of a location. Such an indication can also be given by a mobile radio cell in which the user's mobile device is registered. For this purpose, the network operator establishes a data connection with the mobile device and offers corresponding services. Such a service, which is offered by the network operator to the mobile terminal, can be a voice transmission or else a data transmission. According to the present invention, the network operator is typically represented by a computing unit. So when one speaks of a network operator, this typically refers to the infrastructure provided. The network provided can comprise a base station with which the mobile terminal is communicatively coupled. The mobile terminal is thus registered in a wireless network, which is preferably in the form of a mobile radio network. The mobile terminal moves from cell to cell, a so-called handover taking place each time a cell is switched to a next cell, that is to say from one base station to the next base station. The location information can be derived from this geographical information. The geographical dimensions of the individual radio cells are known to the network operator, and the mobile terminal can thus be located.

In einem vorbereitenden Verfahrensschritt erfolgt ein Registrieren einer vertrauenswürdigen Instanz bei einem Netzwerkbetreiber, wobei die vertrauenswürdige Instanz wiederum typischerweise durch eine Recheneinheit repräsentiert wird. Vorzugsweise handelt es sich bei einer solchen Recheneinheit um einen Server, der wiederum mit einem weiteren Server des Netzwerkbetreibers kommunizieren kann. Das Registrieren der vertrauenswürdigen Instanz erfolgt, damit der Netzwerkbetreiber eben dieser Instanz tatsächlich auch Daten bereitstellt, da in der Praxis sensible Kundeninformationen nicht ohne eine Vorabprüfung freigegeben werden. In a preparatory method step, a trustworthy entity is registered with a network operator, the trustworthy entity again being typically represented by a computing unit. Such a computing unit is preferably a server, which in turn can communicate with another server of the network operator. The trustworthy instance is registered so that the network operator actually also provides data to this instance, since in practice sensitive customer information is not released without prior checking.

Somit handelt es sich bei dem Registrieren der vertrauenswürdigen Instanz um ein Hinterlegen der Kontaktinformation der vertrauenswürdigen Instanz bei dem Netzwerkbetreiber. Folglich kann in den weiteren Verfahrensschritten davon ausgegangen werden, dass die vertrauenswürdige Instanz von dem Netzwerkbetreiber mit entsprechenden Geoinformationen versorgt wird.Thus, the registration of the trustworthy instance involves storing the contact information of the trustworthy instance with the network operator. Consequently, it can be assumed in the further method steps that the trustworthy entity is supplied with the appropriate geographic information by the network operator.

Die vertrauenswürdige Instanz kann beispielsweise durch den Benutzer des mobilen Endgeräts autorisiert werden. Somit kann es im Ermessen des Benutzers liegen, ob er die Instanz tatsächlich als vertrauenswürdig empfindet. Nimmt ein Benutzer an dem erfindungsgemäßen Verfahren teil, so ist es möglich, dass dieser gebeten wird, vorab zuzustimmen, dass der Netzwerkbetreiber entsprechende Daten an die vertrauenswürdige Instanz herausgibt.The trustworthy entity can be authorized, for example, by the user of the mobile terminal. Thus, it can be at the discretion of the user whether he actually perceives the instance as trustworthy. If a user takes part in the method according to the invention, it is possible that the user is asked to agree in advance that the network operator will release corresponding data to the trustworthy entity.

Erfindungsgemäß ist es auch möglich, dass der Netzwerkbetreiber jeweils wechselt. Dies ist der Fall, falls ein sogenannter Handover erfolgt und zwei angrenzende Mobilfunkzellen nicht von dem gleichen Netzwerkbetreiber betrieben werden. Somit kann realweltlich auch der Netzwerkbetreiber in mehrere Betreiberorganisationen auseinanderfallen. Es ist lediglich notwendig, dass der bzw. die Netzwerkbetreiber die Ortsinformation herausgeben bzw. erstellen können. Wird ein Abstand des mobilen Endgeräts von mehreren Basisstationen gemessen und somit die Geoinformation des mobilen Endgeräts ermittelt, so kann es möglich sein, dass die Basisstationen von unterschiedlichen Netzwerkbetreibern betrieben werden.According to the invention, it is also possible for the network operator to change in each case. This is the case if a so-called handover takes place and two adjacent mobile radio cells are not operated by the same network operator. Thus, in real-world terms, the network operator can also fall apart in several operator organizations. It is only necessary that the network operator (s) can issue or create the location information. If a distance of the mobile terminal from several base stations is measured and the geographic information of the mobile terminal is determined, it may be possible that the base stations are operated by different network operators.

Erfindungsgemäß wurde erkannt, dass nicht lediglich ein Überprüfen der Ortsinformation als solche vorteilhaft ist, sondern dass darüber hinaus ein überraschender technischer Effekt dadurch entsteht, dass Steuerbefehle in dem mobilen Endgerät verschleiert werden. Somit ist es einem Angreifer nicht möglich bzw. nur sehr schwer möglich zu erkennen, welche Teile eines Programms nunmehr auf eine Ortsinformation zurückgreifen. In mobilen Endgeräten wird typischerweise eine standardisierte Schnittstelle zu Ortungskomponenten angeboten. Solche Ortungskomponenten können als ein GPS-Empfänger vorliegen. Wird der Quellcode bzw. die Steuerbefehle verschleiert, so wird es einem Angreifer erschwert überhaupt herauszufinden, in welcher Weise die Ortsinformationen angefordert werden bzw. wann und zu welchem Zweck diese Ortsinformation generiert wird. Folglich entsteht ein kombinierter Sicherheitsmechanismus, der sich nicht lediglich auf eine externe Instanz zur Verifikation bezieht.According to the invention, it was recognized that not only a check of the location information as such is advantageous, but also that a surprising technical effect arises from the fact that control commands are obscured in the mobile terminal. An attacker is therefore unable or very difficult to identify which parts of a program are now using location information. A standardized interface to location components is typically offered in mobile devices. Such location components can be present as a GPS receiver. If the source code or the control commands are masked, it is difficult for an attacker to find out at all how the location information is requested or when and for what purpose this location information is generated. This results in a combined security mechanism that does not only refer to an external entity for verification.

Besonders vorteilhaft ist es erfindungsgemäß, dass die Sicherheitsmechanismen bezüglich dem mobilen Endgerät sowohl intern als auch extern implementiert sind. So müsste ein Angreifer tatsächlich Zugriff auf das mobile Endgerät bzw. dessen Steuerbefehle an sich haben sowie auch die externe Instanz beeinflussen müssen, welche die Ortsinformation liefert. Folglich wird ein gesteigerter Sicherheitsstandard implementiert.It is particularly advantageous according to the invention that the security mechanisms with regard to the mobile terminal are implemented both internally and externally. For example, an attacker should actually have access to the mobile terminal or its control commands per se and also have to influence the external entity that supplies the location information. As a result, an increased security standard is implemented.

Die Steuerbefehle sind eingerichtet, die Ortsinformation des mobilen Endgeräts zu ermitteln und folglich den Aufenthaltsort zu bestimmen. Generell kann die Ortsinformation als Aufenthaltsortsinformation des mobilen Endgeräts interpretiert werden. Die Steuerbefehle können als Treiber vorliegen, die die GPS-Komponente bzw. alternative Ortungskomponenten ansteuern. Die Steuerbefehle sind jedoch nicht auf Treiberkomponenten eingeschränkt, sondern können vielmehr eine Funktionalität eines beliebigen Programms auf dem mobilen Endgerät betreffen.The control commands are set up to determine the location information of the mobile terminal and consequently to determine the location. In general, the location information can be interpreted as location information of the mobile terminal. The control commands can be present as drivers which control the GPS component or alternative location components. However, the control commands are not restricted to driver components, but rather can relate to the functionality of any program on the mobile terminal.

Sodann erfolgt ein erstes Ermitteln der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Ortungskomponenten des Endgeräts. Neben den Ortungskomponenten kommen die verschleierten Steuerbefehle zum Einsatz. Zur ersten Ortung können herkömmliche Verfahren eingesetzt werden, wie beispielsweise GPS-basierte Verfahren oder eine Ortung ausgehend von mindestens einer Mobilfunkzelle. Bei der aktuellen Ortungsinformation bzw. Ortsinformation handelt es sich um den Aufenthaltsort des mobilen Endgeräts oder zumindest im Rahmen einer gefälschten Ortsinformation um die vermeintliche Aufenthaltsinformation. Findet kein Angriff statt, so ist die aktuelle Ortsinformation der tatsächliche Aufenthaltsort des Endgeräts, und bei einem Angriff ist die aktuelle Ortsinformation derart verfälscht, dass diese unbrauchbar ist. Im Rahmen dieses Angriffs wird diese gefälschte aktuelle Ortsinformation dennoch ermittelt und bereitgestellt und in weiteren Verfahrensschritten jedoch negativ verifiziert.The current location information of the mobile terminal is then first determined using location components of the terminal. In addition to the location components, the veiled control commands are used. Conventional methods can be used for the first location, such as GPS-based methods or location based on at least one mobile radio cell. The current location information or location information is the location of the mobile terminal or, at least in the context of a fake location information, the supposed location information. If no attack takes place, the current location information is the actual location of the terminal, and in the event of an attack the current location information is falsified such that it is unusable. As part of this attack, this fake current location information is nevertheless determined and made available, but is negatively verified in further procedural steps.

Zum Abgleich der ersten Ortsinformation, also derjenigen Ortsinformation des ersten Ermittelns, wird eine zweite Ortsinformation im Rahmen eines zweiten Ermittelns erstellt. Dies erfolgt dadurch, dass auf die Daten des Netzwerkbetreibers zugegriffen wird, was vorzugsweise durch die vertrauenswürdige Instanz erfolgt. Der Netzwerkbetreiber kennt den aktuellen Aufenthaltsort des mobilen Endgeräts, da der Netzwerkbetreiber mit dem mobilen Endgerät kommuniziert und diesem Dienste anbietet. Somit kann anhand der ersten Ortsinformation und der zweiten Ortsinformation ermittelt werden, ob diese übereinstimmen. Erfindungsgemäß ist das Verfahren besonders geschützt, da keine Ortsinformation alleine verwendet wird, also weder die Ortsinformation des mobilen Endgeräts noch die Ortsinformation des Netzwerkbetreibers. Somit müsste ein Angriff derart erfolgen, dass sowohl die Ortsinformation des mobilen Endgeräts als auch die des Netzwerkbetreibers abgefälscht wird und dennoch beide Ortsinformationen übereinstimmen. Typischerweise hat der Angreifer jedoch nicht Zugriff auf das Endgerät bzw. dessen Steuerbefehle und Zugriff auf die Daten des Netzwerkbetreibers. To compare the first location information, that is, the location information of the first determination, a second location information is created as part of a second determination. This is done by accessing the data of the network operator, which is preferably done by the trustworthy entity. The network operator knows the current location of the mobile terminal, since the network operator communicates with the mobile terminal and offers it services. The first location information and the second location information can thus be used to determine whether they match. According to the invention, the method is particularly protected since no location information is used alone, that is, neither the location information of the mobile terminal nor the location information of the network operator. An attack would therefore have to take place in such a way that both the location information of the mobile terminal device and that of the network operator is falsified and nevertheless both location information match. Typically, however, the attacker does not have access to the terminal or its control commands and access to the data from the network operator.

Damit beide Ortsinformationen abgeglichen werden können, erfolgt ein Übertragen der jeweils übermittelten Ortsinformationen an die registrierte vertrauenswürdige Instanz. Dies erfolgt netzwerktechnisch von dem mobilen Endgerät und von dem Netzwerkbetreiber an einen Server der vertrauenswürdigen Instanz. In diesem Verfahrensschritt können weitere Unterschritte ausgeführt werden, wie beispielsweise das Verschlüsseln der Daten bzw. das Absichern der Kommunikationsverbindungen.So that both location information can be compared, the respectively transmitted location information is transmitted to the registered trustworthy entity. In terms of network technology, this takes place from the mobile terminal and from the network operator to a server of the trustworthy entity. In this method step, further sub-steps can be carried out, such as, for example, encrypting the data or securing the communication connections.

Da nunmehr beide Ortsinformationen bei der vertrauenswürdigen Instanz vorliegen, kann diese verifizieren, ob die Ortsinformation, welche durch das Endgerät bereitgestellt wurde, tatsächlich valide ist. Hierzu werden beide Ortsinformationen verglichen und bei einer Übereinstimmung bzw. bei einer wesentlichen Übereinstimmung wird die Ortsinformation positiv verifiziert. Folglich ist die bereitgestellte Ortsinformation valide, also gültig. In abschließenden Verfahrensschritten kann eine Rückmeldung an das mobile Endgerät oder an einen weiteren Server erfolgen. Somit kann das mobile Endgerät auf gewünschte Dienste zugreifen bzw. ein Server kann dem mobilen Endgerät in Abhängigkeit der positiv verifizierten Ortsinformation einen Dienst anbieten. Bei einem negativen Verifizieren hingegen erfolgt ein Abbruch bzw. ein Starten einer Fehlerroutine.Since both location information is now available from the trustworthy entity, the latter can verify whether the location information that was provided by the terminal is actually valid. For this purpose, both location information are compared and if there is a match or if there is a substantial match, the location information is verified positively. As a result, the location information provided is valid. In final procedural steps, feedback can be sent to the mobile device or to another server. The mobile terminal can thus access desired services or a server can offer the mobile terminal a service depending on the positively verified location information. If the verification is negative, however, an error routine is aborted or started.

Gemäß einem Aspekt der vorliegenden Erfindung werden der Netzwerkbetreiber und die vertrauenswürdige Instanz jeweils als ein Server bereitgestellt. Dies hat den Vorteil, dass das vorliegende Verfahren vollautomatisiert ausgeführt werden kann und hierbei für den Benutzer verborgen bleibt, dass die Ortsinformation tatsächlich verifiziert wird. Die Server sind netzwerktechnisch miteinander gekoppelt und tauschen selbsttätig entsprechende Daten aus. Insofern kann das vorgeschlagene Verfahren auch als Netzwerkprotokoll implementiert werden.According to one aspect of the present invention, the network operator and the trustworthy entity are each provided as a server. This has the advantage that the present method can be carried out fully automatically and remains hidden from the user that the location information is actually verified. The servers are network-technically coupled and automatically exchange the corresponding data. In this respect, the proposed method can also be implemented as a network protocol.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das Verschleiern von Steuerbefehlen ein Ändern von Parameterbezeichnungen, Methodenbezeichnungen, Funktionsbezeichnungen, Klassenbezeichnungen, Paketbezeichnungen und/oder einer Reihenfolge. Dies hat den Vorteil, dass ein Obfuskieren durchgeführt werden kann und sogenannte sprechende Bezeichnungen derart verfälscht werden können, dass ein Angreifer nur schwerlich eine Semantik der Bezeichnungen entnehmen kann. Auch können Steuerbefehle redundant eingestreut werden und Reihenfolgen geändert werden. Somit wird der Quellcode bzw. die Steuerbefehle für einen menschlichen Benutzer nur schwer verständlich, was wiederum verschleiert, dass eine Ortsinformation durch die Steuerbefehle abgegriffen wird.According to a further aspect of the present invention, concealing control commands includes changing parameter names, method names, function names, class names, package names and / or an order. This has the advantage that obfuscation can be carried out and so-called speaking names can be falsified in such a way that an attacker can hardly find a semantics of the names. Control commands can also be interspersed and sequences can be changed. The source code or the control commands are therefore difficult for a human user to understand, which in turn obscures the fact that location information is tapped by the control commands.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst die Ortsinformation mindestens eine geographische Koordinate, eine Funkzelle und/oder eine Positionsangabe. Dies hat den Vorteil, dass alle gängigen Ortungsverfahren Einsatz finden können, wie beispielsweise GPS oder eine Ortung, basierend auf Funkzellen. Es können auch herkömmliche Dienste verwendet werden, wie beispielsweise Kartendienste. Folglich lässt sich der Aufenthaltsort des mobilen Endgeräts ausreichend genau umschreiben.According to a further aspect of the present invention, the location information comprises at least one geographical coordinate, a radio cell and / or a position specification. This has the advantage that all common location methods can be used, such as GPS or location based on radio cells. Conventional services such as map services can also be used. As a result, the location of the mobile terminal can be described with sufficient accuracy.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung stimmen die ermittelten Ortsinformationen überein, falls diese zu einem vorbestimmten Schwellenwert gleich sind. Dies hat den Vorteil, dass die Ortsangaben nicht exakt gleich sein müssen, sondern vielmehr können Ungenauigkeiten einkalkuliert werden. So kann ein zeitlicher Versatz bei dem ersten Ermitteln zu dem zweiten Ermitteln entstehen, und die Koordinaten sind somit nicht exakt gleich. Der Benutzer kann sich beispielsweise in einem Verkehrsmittel fortbewegen, und insofern kann der zeitliche Versatz der beiden Messungen eine Abweichung im Aufenthaltsort mit sich führen. Dies kann erfindungsgemäß berücksichtigt werden, und insbesondere können Abweichungen, die rein technisch bedingt sind, ignoriert werden. Auch kann auf die einzelnen Ortungsmethoden und deren Messgenauigkeit Rücksicht genommen werden. According to a further aspect of the present invention, the determined location information is the same if it is equal to a predetermined threshold value. This has the advantage that the location information does not have to be exactly the same, but rather inaccuracies can be factored in. This can result in a time offset in the first determination compared to the second determination, and the coordinates are therefore not exactly the same. The user can move around in a means of transport, for example, and in this respect the time offset of the two measurements can lead to a deviation in the location. This can be taken into account according to the invention, and in particular deviations that are purely technical can be ignored. The individual location methods and their measuring accuracy can also be taken into account.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung stimmen die ermittelten Ortsinformationen überein, falls eine ermittelte geographische Koordinate innerhalb einer ermittelten Funkzelle liegt. Dies hat den Vorteil, dass das vorgeschlagene Verfahren auch zwischen unterschiedlichen Ortungsmethoden kompatibel bleibt. So kann der Benutzer bzw. dessen mobiles Endgerät eine geographische Koordinate bereitstellen, und der Netzwerkbetreiber kann eine Funkzelle angeben. Liegt die geographische Koordinate innerhalb dieser Funkzelle, so kann davon ausgegangen werden, dass beide Ortsinformationen im Wesentlichen übereinstimmen.According to a further aspect of the present invention, the determined location information match if a determined geographic coordinate lies within a determined radio cell. This has the advantage that the proposed method remains compatible between different location methods. In this way, the user or his mobile terminal can provide a geographic coordinate and the network operator can specify a radio cell. If the geographic coordinate lies within this radio cell, it can be assumed that both location information essentially match.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung stimmen die ermittelten Ortsinformationen überein, falls sich zwei ermittelte Funkzellen überschneiden. Dies hat den Vorteil, dass auch darauf Rücksicht genommen werden kann, dass ein mobiles Endgerät eine erste Funkzelle verlässt und sodann in eine zweite Funkzelle übergeführt wird. Befindet sich das mobile Endgerät in einer Überschneidung von zwei Funkzellen und werden diese beiden Funkzellen als Ortsinformation angegeben, so kann davon ausgegangen werden, dass die Ortsangaben positiv verifiziert werden können.According to a further aspect of the present invention, the determined location information match if two determined radio cells overlap. This has the advantage that it can also be taken into account that a mobile terminal device leaves a first radio cell and is then transferred to a second radio cell. If the mobile terminal is in an overlap of two radio cells and these two radio cells are specified as location information, it can be assumed that the location information can be verified positively.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das mobile Endgerät anhand einer eindeutigen Kennung identifiziert. Dies hat den Vorteil, dass das Endgerät an die vertrauenswürdige Instanz mittels einer Kennung vorgestellt wird und auch deren Netzwerkbetreiber lediglich diese Kennung erhält. Somit besteht die Möglichkeit, die eindeutige Kennung zu anonymisieren bzw. während unterschiedlicher Sessions anders zu benennen. Somit wird ein weiterer Sicherheitsaspekt implementiert.According to a further aspect of the present invention, the mobile terminal is identified on the basis of a unique identifier. This has the advantage that the end device is presented to the trustworthy entity by means of an identifier and its network operator also only receives this identifier. This makes it possible to anonymize the unique identifier or to name it differently during different sessions. Another security aspect is thus implemented.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das mobile Endgerät anhand einer International Mobile Equipment Identity IMEI und/oder International Mobile Subscriber Identity IMSI identifiziert. Dies hat den Vorteil, dass eindeutige Kennungen vergeben werden können, welche auf dem mobilen Endgerät bereits hinterlegt sind. Zudem wird sichergestellt, dass diese Kennungen weltweit und jederzeit lediglich einmal vorliegen, und somit kann es nicht zu Kollisionen bezüglich der Identität des mobilen Endgeräts kommen.According to a further aspect of the present invention, the mobile terminal is identified on the basis of an International Mobile Equipment Identity IMEI and / or International Mobile Subscriber Identity IMSI. This has the advantage that unique identifiers can be assigned, which are already stored on the mobile device. In addition, it is ensured that these identifiers are only available worldwide once and at any time, and thus there can be no collisions regarding the identity of the mobile device.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegt das Drahtlosnetzwerk als ein Mobilfunknetzwerk oder ein Low Power Wide Area Network vor. Dies hat den Vorteil, dass gängige Netzwerktopologien Verwendung finden können, und insbesondere können hierbei Standardschnittstellen genutzt werden. Zudem bestehen bereits Rahmenwerke bezüglich dieser Netzwerke, die ebenso Wiederverwendung finden können.According to a further aspect of the present invention, the wireless network is in the form of a mobile radio network or a low power wide area network. This has the advantage that common network topologies can be used, and in particular standard interfaces can be used here. In addition, frameworks already exist regarding these networks, which can also be reused.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das Ermitteln der aktuellen Ortsinformation wiederholt lediglich in einem bestimmten zeitlichen Abstand durchgeführt. Dies hat den Vorteil, dass Intervalle eingestellt werden können, die angeben, wie oft die Ortsinformation abgerufen werden soll. So bewegt sich das mobile Endgerät typischerweise mit einer begrenzten Geschwindigkeit voran, und es würden redundante Informationen entstehen, falls kontinuierlich die Ortsinformation abgegriffen wird. Dies würde zu einem erhöhten Energiebedarf und einer höheren Kommunikationsrate führen. Dies wird erfindungsgemäß vermieden, und es kann eingestellt werden, in welchen oberen und unteren Grenzen eine Iteration einzelner Verfahrensschritte durchgeführt werden kann.According to a further aspect of the present invention, the determination of the current location information is carried out repeatedly only at a certain time interval. This has the advantage that intervals can be set which indicate how often the location information is to be called up. The mobile terminal typically moves at a limited speed, and redundant information would arise if the location information were continuously tapped. This would lead to an increased energy requirement and a higher communication rate. This is avoided according to the invention, and it can be set in which upper and lower limits an iteration of individual method steps can be carried out.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung werden nach dem Verifizieren die Ortsinformationen verworfen. Dies hat den Vorteil, dass vertrauliche Informationen gelöscht werden und somit Angreifer nachträglich nicht auf entsprechende Informationen zugreifen können. Insbesondere wird ein Wiederverwenden bereits validierter Ortsinformationen erfindungsgemäß vermieden. Somit wird also noch ein weiterer Sicherheitsaspekt implementiert.According to a further aspect of the present invention, the location information is discarded after the verification. This has the advantage that confidential information is deleted and attackers cannot subsequently access the relevant information. In particular, reuse of already validated location information is avoided according to the invention. Another security aspect is thus implemented.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird bei einem negativen Verifizieren eine Fehlerroutine gestartet. Dies hat den Vorteil, dass das Verfahren entweder abgebrochen wird, oder dem mobilen Endgerät oder einem beteiligten Server mitgeteilt wird, dass die Ortsinformation nicht valide ist. Hierauf kann die zugrundeliegende Software gesperrt werden bzw. das mobile Endgerät insgesamt gesperrt werden. Bei einem negativen Verifizieren handelt es sich potenziell um einen Betrugsversuch, und entsprechende Sicherheitsmaßnahmen können eingeleitet werden.According to a further aspect of the present invention, an error routine is started in the event of a negative verification. This has the advantage that the method is either terminated or the mobile terminal or a server involved is informed that the location information is not valid. The underlying software can then be blocked or the mobile terminal device as a whole can be blocked. Negative verification is potentially an attempt to defraud, and appropriate security measures can be taken.

Die Aufgabe wird auch gelöst durch eine Verifizierungsanordnung zum Verifizieren einer bereitgestellten Ortsinformation in einem Drahtlosnetzwerk, umfassend eine erste Schnittstelleneinheit eingerichtet zum Registrieren einer vertrauenswürdigen Instanz bei einem Netzwerkbetreiber, einen Prozessor eingerichtet zum Verschleiern von Steuerbefehlen eines mobilen Endgeräts, welches kommunikativ mit dem Netzwerkbetreiber verbunden ist, wobei die Steuerbefehle eingerichtet sind, eine Ortsinformation des mobilen Endgeräts zu ermitteln, Ortungskomponenten des Endgeräts eingerichtet zum ersten Ermitteln der aktuellen Ortsinformation des mobilen Endgeräts, eine zweite Schnittstelleneinheit eingerichtet zum zweiten Ermitteln der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Daten des Netzwerkbetreibers, einen Kommunikationskanal eingerichtet zum Übertragen der jeweils ermittelten Ortsinformationen an die registrierte vertrauenswürdige Instanz, und die vertrauenswürdige Instanz eingerichtet zum Verifizieren der Ortsinformation, falls die jeweils ermittelten Ortsinformationen übereinstimmen.The object is also achieved by a verification arrangement for verifying a location information provided in a wireless network, comprising a first interface unit set up to register a trustworthy entity with a network operator, a processor set up to conceal control commands from a mobile terminal device which is communicatively connected to the network operator, wherein the control commands are set up to provide location information of the mobile terminal determine, location components of the terminal set up for first determining the current location information of the mobile terminal, a second interface unit set up for second determining the current location information of the mobile terminal using data from the network operator, a communication channel set up for transmitting the respectively determined location information to the registered trustworthy entity , and the trustworthy entity is set up to verify the location information if the location information determined in each case matches.

Die Aufgabe wird auch gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Steuerungsanordnung betreiben. Beispielsweise kann das vorgeschlagene Verfahren zumindest teilweise als Netzwerkprotokoll implementiert werden.The object is also achieved by a computer program product with control commands which implement the method or operate the control arrangement. For example, the proposed method can be implemented at least partially as a network protocol.

Erfindungsgemäß ist es besonders vorteilhaft, dass das Verfahren Verfahrensschritte aufweist, welche auch von den strukturellen Merkmalen der Anordnung funktional nachgebildet werden können. Somit umfasst die Anordnung strukturelle Merkmale, welche Funktionen bereitstellen, die den Verfahrensschritten entsprechen.According to the invention, it is particularly advantageous that the method has method steps which can also be functionally simulated by the structural features of the arrangement. The arrangement thus comprises structural features which provide functions which correspond to the method steps.

Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figuren näher erläutert. Es zeigen:

1: ein schematisches Blockdiagramm, welches den Kommunikationsfluss gemäß einem Aspekt der vorliegenden Erfindung aufzeigt; und
2: ein schematisches Ablaufdiagramm eines Verfahrens zum Verifizieren einer bereitgestellten Ortsinformation gemäß einem weiteren Aspekt der vorliegenden Erfindung.

Further advantageous configurations are explained in more detail with reference to the attached figures. Show it:

1 : is a schematic block diagram showing the flow of communication according to an aspect of the present invention; and
2 : A schematic flow diagram of a method for verifying a location information provided according to a further aspect of the present invention.

In 1 ist auf der linken Seite eingezeichnet, dass Steuerbefehle vorliegen, die auf dem mobilen Endgerät abgelegt sind. Die vertrauenswürdige Instanz ist auf der rechten Seite eingezeichnet und kann beispielsweise mindestens einen der drei rechten Blöcke, die übereinander angezeigt sind, bilden. Der Netzwerkbetreiber ist oben mittig angeordnet und führt ein Register des mobilen Netzwerks oder des Low Power Wide Area Network derart, dass Ortsinformationen des mobilen Endgeräts, welches mit dieser Instanz kommuniziert, bereitgestellt werden können.In 1 is shown on the left side that there are control commands that are stored on the mobile device. The trustworthy entity is drawn on the right side and can, for example, form at least one of the three right blocks, which are displayed one above the other. The network operator is arranged in the middle at the top and maintains a register of the mobile network or the low power wide area network in such a way that location information of the mobile terminal device which communicates with this instance can be provided.

Die App auf dem Mobilgerät ist bereits mit den entsprechenden Ergänzungen versehen. Dies bedeutet, dass im Rahmen der Obfuskierung zusätzliche Befehle eingefügt wurden. Diese sorgen dafür, dass beim Versenden von Positionsinformationen an den „App Server“ dieselben Positionsinformationen an das „App Security Gateway“ gesendet werden.The app on the mobile device is already provided with the corresponding additions. This means that additional commands were inserted as part of the obfuscation. These ensure that the same position information is sent to the "App Security Gateway" when sending position information to the "App Server".

Es wird nun davon ausgegangen, dass das Mobilgerät (Smartphone) bei einem Drahtlosnetzwerk registriert ist (1 - (A)). Dieses Drahtlosnetzwerk ist bevorzugt ein Mobilfunknetzwerk oder auch ein sogenanntes LPWAN. WLANs sind dafür aus Sicherheitsgründen nicht geeignet; bei WLANs ist es zu einfach, einen Relais-Angriff vorzunehmen und so mit Hilfe eines „Ghost“ ein Mobilgerät in einem WLAN auftauchen zu lassen, das sich in Wirklichkeit an einem anderen Ort befindet.It is now assumed that the mobile device (smartphone) is registered with a wireless network ( 1 - (A)). This wireless network is preferably a mobile radio network or a so-called LPWAN. WLANs are not suitable for security reasons; in the case of WLANs, it is too easy to carry out a relay attack and thus use a “ghost” to make a mobile device appear in a WLAN that is actually in a different location.

Von dem gewählten Drahtlosnetzwerk bzw. Drahtlosnetzwerkanbieter hat das Mobilgerät eine eindeutige Kennung DeviceID_{WirelessNetwork} erhalten ( 1 - (B)). Bei einem Smartphone kann dies beispielsweise eine IMEI oder IMSI sein, bei LPWANs ein Äquivalent davon.The mobile device has received a unique identifier DeviceID _{WirelessNetwork} from the selected wireless network or wireless network provider ( 1 - (B)). For example, for a smartphone this can be an IMEI or IMSI, for LPWANs an equivalent of it.

Außerdem als vorhanden bzw. bereits ausgehandelt werden die Sitzungsschlüssel für die sichere Datenübertragung angenommen.

- SessionKey _ASG liegt sowohl dem Mobilgerät als dem „App Security Gateway“ vor (1 - (C) / (D)),
- SessionKey_AppServer dem Mobilgerät und dem „App Server“ (1 - (C) / (E)).

The session keys for secure data transmission are also assumed to be available or already negotiated.

- SessionKey _ASG is available to both the mobile device and the "App Security Gateway" ( 1 - (C) / (D)),
- SessionKey _AppServer the mobile device and the "App Server" ( 1 - (C) / (E)).

Die 1 zeigt einige Parameter bzw. Nachrichten, welche so typischerweise im englischen Sprachgebrauch verwendet werden. Darüber hinaus ergeben sich folgende Nachrichten: TransmittedData : = enc (SentData, SessionKey_ASG) SentData: = AttackData | | AppData AttackData: = LocationData | | WirelessNetworkProvider | | DeviceID_{WirelessNetwork} AppData: = enc (LocationData | | FurtherTransactionData, SessionKey_AppServer) The 1 shows some parameters or messages that are typically used in English. The following messages also result: TransmittedData: = enc (SentData, SessionKey _ASG ) SentData: = AttackData | | AppData Attack Data: = LocationData | | WirelessNetworkProvider | | DeviceID _{WirelessNetwork} AppData: = enc (LocationData | | FurtherTransactionData, SessionKey _AppServer )

Im Folgenden werden lediglich beispielhaft die Verfahrenabläufe bzw. Nachrichtenübermittlungen dargestellt. Die nun folgenden Schritte sind nicht einschränkend zu verstehen, sondern erläutern beispielhaft den erfindungsgemäßen Ablauf. In the following, the process sequences or message transmissions are only shown as examples. The following steps are not to be understood as restrictive, but rather explain the sequence according to the invention by way of example.

In Schritt 1 werden die zu übertragenden Daten zusammengestellt. Hierbei handelt es sich gemäß einem Aspekt der vorliegenden Erfindung insbesondere um die Positionsdaten des Mobilgeräts. Es wurde in die App bei jeder Übermittlung der Positionsdaten an den „App Server“ eine zusätzliche Übermittlung derselben Positonsdaten an das „App Security Gateway“ hinzugefügt. Diese Positionsdaten („LocationData“) sind somit in

- „AttackData“, den Daten für das „App Security Gateway“ sowie
- „AppData“, den Daten für den „App Server“, enthalten.

In step 1, the data to be transferred are compiled. According to one aspect of the present invention, this is in particular the position data of the mobile device. An additional transmission of the same position data to the "App Security Gateway" was added to the app each time the position data was sent to the "App Server". This position data ("LocationData") is therefore in

- "AttackData", the data for the "App Security Gateway" and
- "AppData", the data for the "App Server", included.

Die entsprechende Verschlüsselung zwischen Mobilgerät und den einzelnen Servern ist in 1 ersichtlich.The corresponding encryption between the mobile device and the individual servers is in 1 seen.

In Schritt 2 werden gemäß einem Aspekt der vorliegenden Erfindung die zusammengestellten verschlüsselten Daten („TransmittedData“) an das „App Security Gateway“ übertragen. Dies kann, muss aber nicht über das zuvor beschriebene Mobilfunknetzwerk oder LPWAN geschehen, bei dem das Mobilgerät gerade registriert ist. Vielmehr ist es für das Mobilgerät ohne Sicherheitseinbußen möglich, ein beliebiges WLAN oder sogar eine drahtgebundene Netzwerkverbindung zu nutzen.In step 2, the compiled encrypted data (“TransmittedData”) are transmitted to the “App Security Gateway” in accordance with one aspect of the present invention. This can, but does not have to be, via the previously described mobile radio network or LPWAN with which the mobile device is currently registered. Rather, it is possible for the mobile device to use any WLAN or even a wired network connection without sacrificing security.

In Schritt 3 werden gemäß einem Aspekt der vorliegenden Erfindung die übertragenen Daten entschlüsselt und wieder in „AttackData“ und „AppData“ aufgeteilt. Die „AppData“, die beispielsweise die Positionsdaten zusammen mit weiteren Transaktionsdaten enthalten, werden jedoch nicht sofort zum „App Server“ weitergeleitet, sondern erst einmal im „App Security Gateway“ zwischengespeichert. Die Dauer der Zwischenspeicherung liegt in der Praxis im Bereich von einigen hundert Millisekunden, ist aus Sicht des IP (Internet-Protokolls) also kein Problem.In step 3, according to one aspect of the present invention, the transmitted data is decrypted and again divided into “AttackData” and “AppData”. However, the "AppData", which, for example, contains the position data together with other transaction data, is not immediately forwarded to the "App Server", but is first stored temporarily in the "App Security Gateway". In practice, the duration of the intermediate storage is in the range of a few hundred milliseconds, so it is not a problem from the IP (Internet Protocol) perspective.

In Schritt 4 leitet das „App Security Gateway“ gemäß einem Aspekt der vorliegenden Erfindung die „AttackData“, welche unter anderem die Positionsdaten enthalten, an den „Attack Detection Server“ weiter. Dieser erkennt, dass Positionsdaten vorliegen und löst daher eine Prüfung aus. Zur Durchführung dieser Prüfung werden gemäß einem Aspekt der vorliegenden Erfindung folgende Daten genutzt:

- „WirelessNetworkProvider“ - Beschreibt des Drahtlosnetzbetreiber, bei dem die angegebene Position gegengeprüft wird.
- „DeviceID_{WirelessNetwork}“ - Enthält die ID des Mobilgeräts, die zumindest für obigen Drahtlosnetzbetreiber eindeutig ist.
- „LocationData“ - Eine Kopie der in „AppData“ enthaltenen Positionsdaten des Mobilgeräts.

In step 4, the “App Security Gateway” forwards the “AttackData”, which, among other things, contains the position data, to the “Attack Detection Server”. This recognizes that position data is available and therefore triggers a check. According to one aspect of the present invention, the following data are used to carry out this test:

- "WirelessNetworkProvider" - Describes the wireless network operator with whom the specified position is cross-checked.
- "DeviceID _{WirelessNetwork} " - Contains the ID of the mobile device, which is at least unique for the wireless network operator above.
- "LocationData" - A copy of the location data of the mobile device contained in "AppData".

Der „Attack Detection Server“ kontaktiert anhand des „WirelessNetwork-Provider“ den Drahtlosnetzbetreiber, bei dem das Mobilgerät gerade registriert ist.The "Attack Detection Server" uses the "WirelessNetwork Provider" to contact the wireless network operator with which the mobile device is currently registered.

In Schritt 5 fragt der „Attack Detection Server“ beim Drahtlosnetzbetreiber gemäß einem Aspekt der vorliegenden Erfindung nach, in welcher Funkzelle oder an welcher Position sich das Mobilgerät mit der Kennung „DeviceID_{WirelessNetwork}“ gerade befindet.In step 5, the “attack detection server” asks the wireless network operator in accordance with one aspect of the present invention in which radio cell or at which position the mobile device with the identifier “DeviceID _{WirelessNetwork} ” is currently located.

An dieser Stelle wird ein weiterer Vorteil der Lösung deutlich: Drahtlosnetzbetreiber werden bereits aus Datenschutzgründen den Zugriff auf Standortdaten von Mobilgeräten beschränken. Somit ist es App-Entwicklern und zugehörigen Dienstbetreibern zumindest nicht unkompliziert möglich, diese Abfrage durchführen zu dürfen. Ein vertrauenswürdiger Betreiber des „Attack Detection Server“ könnte jedoch den entsprechenden Aufwand und die Kosten für den Erhalt der Zugriffsberechtigung deutlich leichter auf sich nehmen, da dieser nur selten bzw. einmalig anfällt.At this point, another advantage of the solution becomes clear: Wireless network operators will restrict access to location data from mobile devices for data protection reasons alone. This means that app developers and associated service providers are at least not able to easily carry out this query. However, a trustworthy operator of the "Attack Detection Server" could take on the corresponding effort and the costs for obtaining the access authorization much more easily, since this occurs only rarely or once.

Mögliche Authentisierungen oder ähnliches des „Attack Detection Server“ gegenüber dem Drahtlosnetzbetreiber sind an dieser Stelle nicht weiter ausgeführt, da diese beliebig unterschiedlich ausfallen können.Possible authentications or the like of the "Attack Detection Server" against the wireless network operator are not further elaborated at this point, since they can turn out differently.

In Schritt 6 sendet der Drahtlosnetzbetreiber die Zellen- oder Positionsangabe zurück an den „Attack Detection Server“.In step 6, the wireless network operator sends the cell or position information back to the “Attack Detection Server”.

Dieser vergleicht in Schritt 7 die Zellen- oder Positionsangabe mit dem „LocationData“, das vom Mobilgerät ermittelt und übertragen wurde. In step 7, the latter compares the cell or position information with the "LocationData" that was determined and transmitted by the mobile device.

Für diesen Vergleich existieren gemäß einem Aspekt der vorliegenden Erfindung folgende Möglichkeiten:

- Falls zwei Funkzellenangaben (Regionsangaben) vorliegen:
- Wie stark überschneiden sich die vom Mobilgerät angegebene Region mit der vom Drahtlosnetzbetreiber ermittelten?
- Falls eine Positions- und eine Funkzellenangabe (Regionsangabe) vorliegt:
- Befindet sich die Positionsangabe innerhalb der angegebenen Region?
- Falls zwei Positionsangaben vorliegen:
- Wie nah liegen die beiden Positionsangaben zusammen?

According to one aspect of the present invention, the following possibilities exist for this comparison:

- If there are two radio cell information (region information):
- How much does the region specified by the mobile device overlap with the region determined by the wireless network operator?
- If there is a position and a radio cell information (region information):
- Is the position information within the specified region?
- If there are two positions:
- How close are the two positions?

Der „Attack Detection Server“ vergleicht in Schritt 7 die Zellen- oder Positionsangabe mit dem „LocationData“, das vom Mobilgerät ermittelt und übertragen wurde.In step 7, the "Attack Detection Server" compares the cell or position information with the "LocationData" that was determined and transmitted by the mobile device.

Je nach Grad der Übereinstimmung fällt die in Schritt 8 an das „App Security Gateway“ gesendete Antwort positiv (Positionen stimmen genügend überein) oder negativ (Positionen stimmen nicht überein) aus.Depending on the degree of correspondence, the answer sent to the "App Security Gateway" in step 8 is positive (positions match sufficiently) or negative (positions do not match).

In Schritt 9 erhält das „App Security Gateway“ das Prüfungsergebnis des „Attack Detection Server“ und reagiert entsprechend darauf. Die einfachste Möglichkeit besteht darin, die im Schritt 3 zwischengespeicherten „AppData“ zu verwerfen, um die betrügerische Transaktion sicher zu verhindern.In step 9, the "App Security Gateway" receives the test result of the "Attack Detection Server" and responds accordingly. The simplest option is to discard the "AppData" that was cached in step 3 in order to safely prevent the fraudulent transaction.

Eine andere Möglichkeit wäre, einen Seitenkanal zum App Server vorzusehen, der über die festgestellte Positionsabweichung für das entsprechende Gerät informiert.Another option would be to provide a side channel to the app server that provides information about the detected position deviation for the corresponding device.

Überträgt eine App die Position des Mobilgeräts sehr häufig, kann es zu sehr vielen Anfragen beim Drahtlosnetzbetreiber kommen (siehe Schritte 5 und 6).If an app transmits the position of the mobile device very often, there can be a large number of inquiries from the wireless network operator (see steps 5 and 6).

Die Anzahl der Anfragen lässt sich jedoch ohne nennenswerten Sicherheitsverlust reduzieren, indem der „Attack Detection Server“ zuvor erhaltene Positions-/Zellenangaben für das jeweilige Mobilgerät speichert und zum Positions-/Zellenvergleich verwendet. Eine Anfrage beim Drahtlosnetzbetreiber findet nur noch nach Ablauf einer bestimmten Zeitspanne (bspw. alle 2, 5 oder 10 Minuten) statt, wenn sich das Mobilgerät auch tatsächlich eine gewisse Distanz von der bisherigen Position entfernt haben kann.However, the number of requests can be reduced without any noteworthy loss of security by the “Attack Detection Server” storing previously received position / cell information for the respective mobile device and using it for position / cell comparison. A request from the wireless network operator will only take place after a certain period of time (e.g. every 2, 5 or 10 minutes) if the mobile device can actually have moved a certain distance from the previous position.

2 zeigt in einem schematischen Ablaufdiagramm ein Verfahren zum Verifizieren einer bereitgestellten Ortsinformation in einem Drahtlosnetzwerk, umfassend die Schritte Registrieren 100 einer vertrauenswürdigen Instanz bei einem Netzwerkbetreiber, Verschleiern 101 von Steuerbefehlen eines mobilen Endgeräts, welches kommunikativ mit dem Netzwerkbetreiber verbunden ist, wobei die Steuerbefehle eingerichtet sind, die Ortsinformation des mobilen Endgeräts zu ermitteln, ein erstes Ermitteln 102 der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Ortungskomponenten des Endgeräts, ein zweites Ermitteln 103 der aktuellen Ortsinformation des mobilen Endgeräts unter Verwendung von Daten des Netzwerkbetreibers, ein Übertragen 104 der jeweils ermittelten 102, 103 Ortsinformationen an die registrierte 100 vertrauenswürdige Instanz, und ein Verifizieren 105 der Ortsinformation durch die vertrauenswürdige Instanz, falls die jeweils ermittelten 102, 103 Ortsinformationen übereinstimmen. 2 shows a schematic flow diagram of a method for verifying a location information provided in a wireless network, comprising the steps of registering 100 a trustworthy instance with a network operator, disguise 101 a first determination of control commands from a mobile terminal which is communicatively connected to the network operator, the control commands being set up to determine the location information of the mobile terminal 102 determining the current location information of the mobile terminal using location components of the terminal, a second determination 103 the current location information of the mobile terminal using data from the network operator 104 of the determined 102 . 103 Location information to the registered 100 trusted instance, and a verification 105 the location information by the trustworthy entity, if the determined 102 . 103 Location information match.

Der Fachmann erkennt hierbei, dass die beschriebenen Verfahrensschritte iterativ und/oder in anderer Reihenfolge ausgeführt werden können. Beispielsweise kann das Ermitteln in umgekehrter Reihenfolge ausgeführt werden, und zudem können die Verfahrensschritte einzelne Unterschritte aufweisen.The person skilled in the art recognizes that the described method steps can be carried out iteratively and / or in a different order. For example, the determination can be carried out in reverse order, and the method steps can also have individual sub-steps.

Erfindungsgemäß erfolgt eine Erweiterung einer (obfuskierten) App um eine Gegenprüfung der Standortangabe. Somit wird die über eine unsichere API im Mobilgerät ermittelte Standortangabe sicherer bzw. vertrauenswürdiger. Angriffe und Manipulation werden deutlich erschwert.According to the invention, an (obfuscated) app is expanded by a cross-check of the location information. Thus, the location information determined via an unsafe API in the mobile device becomes more secure or more trustworthy. Attacks and manipulation are made significantly more difficult.

Der App-Anbieter /-Entwickler kann diese Gegenprüfung schnell und einfach in Anspruch nehmen. Er muss keine passende Infrastruktur dafür aufbauen und sich nicht gegenüber einer Vielzahl von Drahtlosnetzanbietern um Zugriff auf Positionsdaten bemühen.The app provider / developer can use this cross-check quickly and easily. He does not have to set up a suitable infrastructure for this and does not have to strive to access position data from a large number of wireless network providers.

Das Verfahren ist auch für bereits bestehende Apps verwendbar. Änderungen sind nicht nötig.The procedure can also be used for existing apps. No changes are necessary.

Die Drahtlosnetzanbieter haben den Vorteil, mit einem vertrauenswürdigen „Attack Detection Server“-Betreiber zusammen zu arbeiten. Darüber hinaus ist das System so aufgebaut, dass herausgegebene Positionsangaben niemals den „Attack Detection Server“ verlassen, da dieser nur eine „ja/nein“-Entscheidung nach außen (zurück an das „App Security Gateway“) sendet.The wireless network providers have the advantage of working with a trustworthy “Attack Detection Server” operator. In addition, the system is structured in such a way that published position information never leaves the "Attack Detection Server", since it only sends a "yes / no" decision to the outside (back to the "App Security Gateway").

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant has been generated automatically and is only included for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent literature cited

WO 2011/017647 A2 [0002]
WO 2014/039172 A1 [0003]
WO 2010/093596 A1 [0004]

Claims

A method for verifying a location information provided in a wireless network, comprising the steps: - Registering (100) a trusted entity with a network operator; - obscuring (101) control commands from a mobile terminal which is communicatively connected to the network operator, the control commands being set up to determine the location information of the mobile terminal; - first determining (102) the current location information of the mobile terminal using location components of the terminal; - second determination (103) of the current location information of the mobile terminal using data from the network operator; - Transferring (104) the respectively determined (102, 103) location information to the registered (100) trustworthy entity; and - Verification (105) of the location information by the trustworthy entity if the respectively determined (102, 103) location information match.

Procedure according to Claim 1 , characterized in that the network operator and the trusted instance are each provided as a server.

Procedure according to Claim 1 or 2 , characterized in that the obfuscation (101) of control commands comprises changing parameter designations, method designations, function designations, class designations, package designations and / or an order.

Method according to one of the preceding claims, characterized in that the location information comprises at least one geographic coordinate, a radio cell and / or a position.

Method according to one of the preceding claims, characterized in that the determined (102, 103) location information is the same if it is equal to a predetermined threshold value.

Procedure according to one of the Claims 1 to 5 , characterized in that the determined (102, 103) location information matches if a determined (102) geographic coordinate lies within a determined (103) radio cell.

Method according to one of the preceding claims, characterized in that the determined (102, 103) location information match if two determined (102, 103) radio cells overlap.

Method according to one of the preceding claims, characterized in that the mobile terminal is identified on the basis of a unique identifier.

Method according to one of the preceding claims, characterized in that the mobile terminal is identified on the basis of an International Mobile Equipment Identity IMEI and / or International Mobile Subscriber Identity IMSI.

Method according to one of the preceding claims, characterized in that the wireless network is present as a mobile radio network or a low power wide area network.

Method according to one of the preceding claims, characterized in that the determination (102, 103) of the current location information is carried out repeatedly only at a certain time interval.

Method according to one of the preceding claims, characterized in that after the verification (105) the location information is rejected.

Method according to one of the preceding claims, characterized in that an error routine is started in the event of a negative verification (105).

Verification arrangement for verifying a location information provided in a wireless network, comprising: a first interface unit configured to register (100) a trustworthy entity with a network operator; - A processor set up to conceal (101) control commands from a mobile terminal, which is communicatively connected to the network operator, the control commands being set up to determine the location information of the mobile terminal; - Location components of the terminal set up for first determining (102) the current location information of the mobile terminal; - A second interface unit set up for the second determination (103) of the current location information of the mobile terminal using data from the network operator; - a communication channel set up for transmitting (104) the respectively determined (102, 103) location information to the registered (100) trustworthy entity; and - the trustworthy entity is set up to verify (105) the location information if the respectively determined (102, 103) location information match.

Computer program product with control commands which implement the method according to one of the Claims 1 to 13 execute when executed on a computer.